抄録/ポイント:
抄録/ポイント
文献の概要を数百字程度の日本語でまとめたものです。
部分表示の続きは、JDreamⅢ(有料)でご覧頂けます。
J-GLOBALでは書誌(タイトル、著者名等)登載から半年以上経過後に表示されますが、医療系文献の場合はMyJ-GLOBALでのログインが必要です。
・米国NIST(National Institute of Standards and Technology)の脆弱性情報データベースのスコアで最も緊急性の高い値が付けられた,Apache Log4jの2.x系(Log4j2)の脆弱性(Log4Shell)を概説。
・設定ファイルでログの出力テンプレートを作成するときに,テンプレート内に変数を用いるとLookup機能による変数展開がログとして出力するメッセージ本文でも行われることが原因。
・リモート攻撃可能なゼロデイ脆弱性がPoC(Proof of Concept)付きで広まり,絞り切れなかった影響範囲が1.x系やLogbackなどにも及び,騒動が大きくなって芋づる式に脆弱性が発見。
・企業では脆弱性のキャッチアップ,脅威報の情報分析,影響範囲の絞り込み,攻撃の検知のための仕組みを構築する必要があり,脆弱性発見者の公開に関するマナーを説明。